El Hospital Clinic de Barcelona no contaba con medidas básicas de seguridad para evitar ciberataques

La Autoridad Catalana de Protección de Datos (Apdcat) ha llevado a cabo una investigación sobre el ciberataque sufrido por el Hospital Clínic de Barcelona en marzo de 2023, revelando que el centro sanitario no poseía medidas de seguridad esenciales para prevenir y contener ciberataques, ni había realizado el correspondiente análisis de riesgos necesario para establecer las medidas de seguridad adecuadas en el tratamiento de los datos personales.

Robo de información confidencial

El ciberataque, perpetrado mediante un software de secuestro (ransomware), afectó a los sistemas de información del Hospital Clínic y sus entidades asociadas, sustrayendo aproximadamente 4,5 terabytes de información confidencial. La información robada incluía datos de identificación y asistencia sanitaria, datos personales de los trabajadores y datos personales de proveedores.

Los ciberdelincuentes publicaron inicialmente parte de la información robada en la 'dark web' y exigieron un rescate de más de cuatro millones de euros para evitar una filtración masiva. Finalmente, la información fue filtrada cuatro meses después, exponiendo datos altamente sensibles.

Investigación de la Apdcat

Tras el ciberataque, la Apdcat inició una investigación de oficio para evaluar si las entidades afectadas habían infringido la normativa de protección de datos y para determinar las responsabilidades correspondientes. La investigación ha concluido que el Hospital Clínic incumplió sus obligaciones como responsable y encargado del tratamiento de datos al no implementar las medidas de seguridad necesarias para prevenir, detectar y contener ciberataques.

La Apdcat también ha considerado que las otras entidades implicadas no adoptaron las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento.

Medidas correctoras

La Apdcat requiere que el Hospital Clínic adopte medidas correctoras y acredite su implementación. El centro sanitario ya ha iniciado este proceso.

Barnaclínic, el ala privada del Hospital Clínic, ha impugnado la resolución de la Apdcat. Al ser una entidad pública, el Hospital Clínic no facesanciones económicas, pero sí Barnaclínic.